Ciberdelincuentes aprovechan protocolos obsoletos en Microsoft Entra ID para evadir autenticación multifactor y acceso condicional
Publicado enAmenazas

Ciberdelincuentes aprovechan protocolos obsoletos en Microsoft Entra ID para evadir autenticación multifactor y acceso condicional

No hay comentarios

Hackers explotan protocolos heredados en Microsoft Entra ID para evadir MFA y acceso condicional

Una campaña sofisticada dirigida a Microsoft Entra ID (anteriormente Azure Active Directory) ha sido detectada, aprovechando protocolos de autenticación heredados para eludir medidas de seguridad como la autenticación multifactor (MFA) y las políticas de acceso condicional. El ataque, que se extendió desde el 18 de marzo hasta el 7 de abril de 2025, subraya los riesgos persistentes asociados con la compatibilidad hacia atrás en sistemas de identidad empresarial.

Mecanismos técnicos del ataque

Los actores de amenazas explotaron específicamente protocolos antiguos como:

  • Autenticación básica (SMTP, IMAP, POP3)
  • WS-Trust (usado en escenarios federados)
  • Autenticación integrada de Windows (NTLM)

Estos protocolos, diseñados antes de la era de MFA, no soportan mecanismos modernos de verificación en pasos múltiples. Los atacantes utilizaron técnicas de “spraying” de contraseñas contra estos puntos finales heredados, evitando así las políticas de acceso condicional configuradas para aplicaciones modernas que usan OAuth 2.0 u OpenID Connect.

Implicaciones de seguridad

El incidente revela varias vulnerabilidades críticas:

  • Superficie de ataque expandida: Cada protocolo heredado habilitado representa un vector potencial independiente.
  • Bypass de controles de seguridad: Las políticas de MFA y acceso condicional no se aplican consistentemente en todos los protocolos.
  • Falta de visibilidad: Muchas organizaciones no monitorizan adecuadamente los intentos de autenticación mediante estos métodos obsoletos.

Medidas de mitigación recomendadas

Microsoft y expertos en ciberseguridad recomiendan las siguientes acciones técnicas:

  • Deshabilitar completamente los protocolos de autenticación heredados mediante políticas de acceso condicional.
  • Implementar registros de auditoría dedicados para monitorizar intentos de autenticación mediante protocolos antiguos.
  • Configurar alertas para cualquier actividad de autenticación que use métodos no modernos.
  • Aplicar políticas de bloqueo de cuenta inteligentes específicas para estos protocolos.
  • Migrar todas las aplicaciones y servicios a estándares modernos como OAuth 2.0 y OpenID Connect.

Lecciones aprendidas

Este incidente destaca la importancia de:

  • Realizar inventarios periódicos de protocolos de autenticación habilitados.
  • Implementar principios de privilegio mínimo incluso en mecanismos de autenticación.
  • Considerar la herencia tecnológica como un riesgo de seguridad activo que requiere gestión.
  • Adoptar un enfoque de “confianza cero” que no dé por sentado la seguridad de ningún protocolo.

Para más detalles técnicos sobre este ataque, consulta el análisis completo en Cybersecurity News.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta